Informacijos saugumo valdymo sistemos (ISVS) diegimo paslaugos

Organizacijoms, valdančioms informacines sistemas ir (ar) valdančioms ir tvarkančioms asmens duomenis ir kitą konfidencialią informaciją, siekiant užtikrinti tinkamą šios informacijos ir asmens duomenų apsaugą bei kibernetinio saugumo valdymą, tikslinga įsidiegti ir palaikyti Informacijos saugumo valdymo sistemą (toliau – ISVS), atitinkančią tarptautinio standarto ISO/IEC 27001 (toliau – ISO 27001) reikalavimus. ISVS yra tinkamos organizacinės ir techninės duomenų apsaugos priemonės įgyvendinant Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus.

Organizacijos ISVS gali diegtis savarankiškai ar kreiptis pagalbos į sertifikuotus ekspertus. Organizacijoms ISVS įsidiegusioms savarankiškai prieš sertifikavimo auditą rekomenduotume atlikti Trūkumų ISO 27001 reikalavimams vertinimo (GAP) analizę, kuri leistų įsitikinti, ar organizacija yra tinkamai pasiruošusi sertifikavimui.

ISVS, atitinkančios standarto ISO 27001 reikalavimus, sukūrimas ir įdiegimas organizacijoms suteiks tokias naudas:

• Leis užtikrinti vieningą informacijos ir kibernetinio saugumo valdymą bei asmens duomenų apsaugą, pritaikant standarto ISO 27001 pasaulinę praktiką;
• Leis efektyviai informacijos ir kibernetinio saugumo valdymą bei asmens duomenų apsaugą integruoti į kitus organizacijos veiklos procesus bei suderinti su organizacijos strateginiais tikslais;
• Leis laiku identifikuoti ir sumažinti informacijos ir kibernetinio saugumo pažeidžiamumus ir saugumo spragas;
• Padės nustatyti, įvertinti ir efektyviai valdyti informacijos ir kibernetinio saugumo rizikas;
• Padės tinkamai planuoti ir įgyvendinti informacijos ir kibernetinio saugumo organizacines ir technines (kontrolės) priemones bei efektyviai palaikyti reikiamą informacijos ir kibernetinio saugumo valdymo lygį;
• Leis organizacijos darbuotojams įsitraukti į informacijos ir kibernetinio saugumo valdymą bei asmens duomenų apsaugą, taip pat užtikrins darbuotojų kvalifikacijos kėlimą, įgūdžių stiprinimą bei atsparumą kibernetinės ir socialinės inžinerijos atakoms;
• Leis užtikrinti atitiktį standarto ISO 27001 reikalavimams ir sėkmingą ISVS sertifikavimą;
• Leis tinkamai užtikrinti BDAR, LR asmens duomenų teisinės apsaugos įstatymo, LR kibernetinio saugumo įstatymo ir poįstatyminių teisės aktų reikalavimų įgyvendinimą.

Tinkamų ir pakankamų techninių bei organizacinių priemonių neturėjimas gali būti laikomas Bendrojo duomenų apsaugos reglamento (BDAR) nuostatų pažeidimu ir tokiu atveju gali būti skirtos administracinės baudos, kurios gali siekti iki 2 – 4% ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000 – 20 000 000 eurų.

• Atliekame esamos situaciją analizę
• Rengiame ISVS diegimo planą, rengiamų ISVS politikų ir tvarkų sąrašą
• Rengiame taikomumo pareiškimą, informacijos saugumo politiką ir jos įgyvendinimą reglamentuojančias politikas ir tvarkas
• Atliekame informacijos saugumo rizikos vertinimą ir parengiame informacijos saugumo rizikos valdymo priemonių planą
• Parengiame ISVS stebėjimo, matavimo ir kontrolės planą
• Organizuojame organizacijos darbuotojų supažindinimą su ISVS, jų procesais ir atsakomybėmis
• Atliekame ISVS vidaus auditą ir Vadybinę vertinamąją analizę
• Pasirengiame sertifikavimo auditui (įskaitant pagalbą sertifikavimo audito metu)
• Parengiame priežiūros auditui ir suteikiame pagalbą jo metu

• Atlikta esamos situacijos analizė. Atlikta reikalavimų ir suinteresuotų šalių poreikių, esamų informacijos ir kibernetinio saugumo valdymo bei asmens duomenų apsaugos procesų ir tvarkų analizė.
• Parengtas ISVS diegimo planas bei rengiamų ISVS politikų ir tvarkų sąrašas. Apibrėžta ISVS diegimo ir taikymo apimtis ir sritis. Parengtas ir suderintas rengiamų ir keičiamų ISVS dokumentų sąrašas ir jų rengimo grafikas bei ISVS diegimo planas.
• Parengtas taikomumo pareiškimas, informacijos saugumo politika ir jos įgyvendinimą reglamentuojančias politikos ir tvarkos. Bus parengti ir suderinti tokie ISVS dokumentai: Taikomumo pareiškimas; Informacijos saugumo valdymo politika; Informacijos saugumo valdymo politiką įgyvendinančios politikos ir tvarkos; Informacijos saugumo rizikos ir vertinimo tvarka; ISVS stebėjimo, matavimo ir kontrolės tvarka; ISVS vidaus audito tvarka; ISVS vadybinės vertinamosios analizės tvarka.
• Atliktas informacijos saugumo rizikos vertinimas ir parengtas informacijos saugumo rizikos valdymo priemonių planas. Atiliktas Informacijos saugumo rizikos vertinimas ir parengta ataskaita. Parengtas ir suderintas Informacijos saugumo rizikų valdymo priemonių planas.
• Parengtas ISVS stebėjimo, matavimo ir kontrolės planas. Vadovaujantis informacijos stebėjimo ir kontrolės tvarka, parengtas ir suderintas ISVS stebėjimo, matavimo ir kontrolės planas.
• Suorganizuoti organizacijos darbuotojų mokymai. Suorganizuoti informacijos ir kibernetinio saugumo valdymo bei asmens duomenų apsaugos darbuotojų kvalifikacijos kėlimo mokymai.
• Atliktas ISVS vidaus auditas ir Vadybinė vertinamoji analizės. Kartu su Įmonės atsakingais darbuotojais atliktas ISVS vidaus auditas ir parengta audito ataskaita, Kartu su Įmonės vadovybe bus atlikta Vadybinė vertinamoji analizė ir parengta ataskaita, Parengtas korekcinių veiksmų planas ir pašalinto neatitiktys.
• Pasirengta sertifikavimo auditui ir suteikta pagalba sertifikavimo audito metu. Peržiūrėti ISVS dokumentai ir jų rezultatai. Įvertintas pasirengimas sertifikavimui. Pagalba sertifikavimo metu, dalyvaujant audite. Nustatytų neatitikčių šalinimo plano parengimas ir pagalba šalinant nustatytas neatitiktis.
• Pasirengta priežiūros auditui ir suteikta pagalba jo metu. Peržiūrėti ISVS dokumentai ir jų rezultatai. Įvertintas pasirengimas priežiūros auditui. Pagalba priežiūros audito metu, dalyvaujant audite. Nustatytų neatitikčių šalinimo plano parengimas ir pagalba šalinant nustatytas neatitiktis.

• Užtikrinamas vieningas informacijos ir kibernetinio saugumo valdymas
• Laiku nustatomi ir šalinami informacijos ir kibernetinio saugumo pažeidžiamumai bei saugumo spragos
• tinkamai vertinamos ir valdomos informacijos saugumo rizikos
• Įtraukiami darbuotojai į ISVS
• Užtikrinama atitiktis teisės aktams

• Valstybinės ligonių kasos ISVS ir IT PVS diegimas
• Informatikos ir ryšių departamente ISVS vidaus auditas